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Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

Priifungsantrag gem. § 44 PatG ist gestellt 

@ System fur ein elektronisches Datenarchiv mit Erzwingung einer Zugriffskontrolle beim Suchen und Abrufen 
von Daten 

@ Wenn ein elektronisches Dokument zur Revision durch 
andere Stellen verfugbar gemacht wird, ist es oft vorteil- 
haft, das Dokument in einem von einer dritten Partei ver- 
walteten Archiv oder einer von einer dritten Partei verwal- 
teten Datenbank zu spefchern. Es wird ein System zur Ver- 
fiigung gestellt, in dem die Stellen, die vom Urheber ei- 
nes Dokuments die Berechtigung zum Zugriff auf dieses 
Dokument im Datenarchiv erhalten haben, sicher nach 
dem im Archiv einer dritten Partei aufbewahrten Doku- 
ment suchen konnen, ohne dass sie darauf vertrauen 
rnussen, dass der Verwalter des Archiv sichere Informati- 
on uber ihre Zugriffsrechte liefert. Der Dokumenturheber, 
der Archiwerwalter und alio Stellen, die Zugriffsrechte 
auf Daten im Archiv besitzen, haben Tresorumgebungen, 
■ die sichere Erweiterungen ihrer betreffenden Arbeitsbe- 
• reiche sind. Der Tresor des Dokumenturhebers verwaltet 
» fur jedes im Archiv deponierte Dokument eine Zugriffs- 
kontroll-Liste (ACL). Der Tresor jeder Stelle, die Zugriffs- 
rechte auf Dokumente im Archiv besitzt, verwaltet eine 
Fahigkeitsliste der Zugriffsrechte der betreffenden Stelle 
auf alle im Archiv gespeicherten Dokumente. Die Stelle 
selber bewahrt auf ihrem eigenen Arbeitsplatz einen Be- 
weis der neuesten Version ihrer Fahigkeitsliste auf. Wenn 
die ACL fur ein Dokument im Tresor des Dokumenturhe- 
bers aktualisiert wird, stellt der Tresor des Urhebers fest, 
welche Stellen von der Anderung betroffen sind, und 
ubertragt die Anderungen an die Tresore der betroffenen 
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Beschreibung 

Gegenstand der Erfindung 

Die vorliegende Erfindung betrifft das Gebiet der elektro- 
nischen Datenspeicherung und liefert speziell ein sicheres 
Datenarchiv- und -austauschsystem, das von einer dritten 
Partei, die die Funktion eines Verwalters ausubt, verwaltet 
wird, und in dem eine Zugriffskontrolle beim Suchen und 
Abrufen von Daten erzwungen wird. 

Hintergrund der Erfindung 

Neuere parallele Fortschritte in der Netzwerkkommuni- 
kalion und der PKI-Technologie (public key infrastructure - 
Infrastruktur offentlicher Schlussel) haben bewirkt, dass 
Unternehmen und Institutionen beginnen, elektronische Do- 
kumentation zur Aufzeichnung und fur Transaktionen jegii- 
cher Art einzusetzen. Mit Verbesserungen bei der Integritat 
und Sicherheit der Ubertragung kann zuversichtlich davon 
ausgegangen werden, dass Dokumente, die elektronisch 
uber das Internet und andere ofTene Netzwerke gesendet 
werden, intakt und unverfalscht ankomrnen. Datenbankver- 
waltungssysteme, die mit modernen Computerspeichern mit 
einer Kapazitat von mehreren Gigabyte gekoppelt sind, ha- 
ben es Unternehmen und Institutionen ermoglicht, auf die 
Aufbewahrung von Dokumenten in Papierform zu verzich- 
ten, deren Masse Immobilienkosten verursacht. 

Typischerweise mussen Daten, die von einer S telle slam- 
men, aus verschiedenen Grunden an eine andere ubertragen 
werden, z. B. zur Aufbewahrung, zur Priifung usw. Die Da- 
tenelemente konnten in Form unstrukturierter Dokumentda- 
teien oder strukturierter Datensatze vorliegen wie z. B. 
Konto- und andere Finanzinformationen. Im Beispiel un- 
strukturierter Daten kann es notwendig sein, ein Dokument 
zum Zweck der Priifung vom Ursprungssystem an andere 
Computer im gleichen System oder an Computer auf ande- 
ren Systemen zu schicken. Dies konnte gleichermaBen in ei- 
ner Geschaftssituation (z. B. einem Vorschlag fiir ein Joint 
Venture oder einer komplexen Angebotsausschreibung) wie 
auch in einer Institution (z. B. wenn eine Dissertation von 
akademischen Beratern uberpriift wird, bevor sie einer Prii- 
fungskommission vorgelegl wird) vorkommen. Das Doku- 
ment ist elektronisch erstellt worden, da auf diese Weise 
Uberarbeitungen und Einfugungen (speziell wenn sie um- 
fangreich sind) leicht eingearbeitet werden konnen, ohne 
dass jedesmal das gesarnte Dokument neu getippt werden 
muB. 

Wenn das Dokument in elektronischer Form vorliegt, 
kann es auch leichter uberpriift werden, weil es in dieser 
Form leichter zu ubertragen ist. Vorgesehene Betrachter 
konnen feststeUen, dass ein Dokument verfugbar ist, indem 
sie das System durchsuchen, nachdem ihnen der Zugriff auf 
den Speicherort des Dokuments gewahrt worden ist. 

Es gibt mehrere Griinde, z. B. Sicherheit, Datenintegrital 
und System- oder Netzwerkverfugbarkeit, weshalb der Do- 
kumenturhebcr ein Dokument nicht lokal speichem will, 
wenn dies bedeutet, dass hinter der Firewall Dritten Zugriff 
gewahrt wird. Diese Griinde werden in unserer gleichzeitig 
eingereichten Patentanmeldung mit dem Titel "System for 
Electronic Repository of Data Enforcing Access Control on 
Data Retrieval" (IBM Docket No. CA998-030), das gemein- 
sam ubertragen wurde und hiermil durch Bczugnahmc des 
vorliegenden Dokuments ist, ausfuhrlicher beschrieben. 

Unsere gleichzeitig eingereichte Anmeldung betrifft ein 
Syslem, in dem die Integritat der und der Zugriff auf die in 
einem Archiv gespeicherten Daten unabhangig von Aktio- 
nen der als Verwalter des Archivs agierenden dritten Partei 
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verwaltet wird. 

Die in der genannten Anmeldung beschriebene Erfindung 
ist bei Systemen mit einer groBen Anzahl von Dokumenten, 
die fiir eine groBe Anzahl von Benutzem zuganglich sind, 
5 sehr effizienl, da die Information uber den autorisierten Zu- 
griff auf die Dokumente an einer einzigen, zenlralen Stelle 
gespeichert werden, und zwar im Archiv selber Benutzer 
erhalten durch systemexterne Mittel sichere Kenntnis ihres 
Zugriffs auf Dokumente. 
to Die vorliegende Erfindung ist eine Abwandlung, in der 
das System selber die Information uber den autorisierten 
Zugriff enthalt, die auch sicher vor Aktionen der als Verwal- 
ter des Archivs agierenden dritten Partei ist. 

15 Kurzbeschreibung der Erfindung 

Es ist deshalb eine Aufgabe der vorliegenden Erfindung, 
ein System zur elektronischen Speicherung und zum elek- 
tronischen Austausch von Dokumenten zur Verfugung zu 

20 stellen, in dem die Dokumente physisch in einem von einer 
dritten Partei verwalteten Archiv gespeichert werden, in 
dem die Benutzer aber suchen konnen, um festzustellen, auf 
welche Dokumente im Archiv sie zugreifen konnen. 

Eine weitere Aufgabe der Erfindung besteht darin, ein Sy- 

25 stem zur Verfugung zu stellen, in dem die Integritat der im 
Archiv gespeicherten Informationen uber autorisierte Zu- 
griffe im System verfugbar, aber nicht von Aktionen der 
dritten Parlei, die das Archiv verwaltet, abhangig ist. 

In einem Aspekt hat die vorliegende Erfindung also ein si- 

30 cheres System zum Suchen elektronischer Datendateien in 
einem Datenarchiv zum Ziel. Das System besteht aus einer 
Kommunikationsumgebung, in der ein erstes Agentenpro- 
gramm fiir einen Computer, der eine elektronische Datenda- 
tei im Datenarchivsystem deponiert, und ein zweites Agen- 

35 tenprogramm fiir einen ersten Benutzercomputer mit Zu- 
griffsrechl auf die elektronische Datendatei vorhanden ist. 
In einer Nachweisliste fur die elektronische Datendatei sind 
ZugrifTskontrollen fur die elektronische Datendatei aufge- 
fuhrt. Die Nachweisliste ist fur ein erstes Agentenprogramm 

40 zuganglich und wird von diesem verwaltet. Der erste Benut- 
zercomputer besitzt eine Aufzeichnung seiner Zugriffs- 
rechte auf die elektronische Datendatei, die fur das zweite 
Agentenprogramm zuganglich ist und von diesem verwaltet 
wird. Wenn an der Nachweisliste Anderungen vorgenom- 

45 men werden, die die Zugriffsrechte des ersten Computers 
auf die elektronische Datendatei betreffen, werden diese 
Anderungen vom ersten Agentenprogramm an das zweite 
Agentenprogramm ubertragen, so dass die Aufzeichnung 
des ersten Benutzercomputers uber seine Zugriffsrechte ak- 

50 tualisiert werden kann. Das erste Agentenprogramm ist auch 
in der Lage, die Zugriffsrechte des ersten Benutzercompu- 
ters auf die elektronische Datendatei zu prufen, bevor die 
elektronische Datendatei fiir das zweite Agentenprogramm 
freigegeben wird. 

55 In einem weiteren Aspekt bietel die Erfindung ein Verfah- 
ren fur eine sichere elektronische Daten suche in einem elek- 
tronischen Datenarchiv in einem Syslem mil einer Nach- 
weisliste, in der Zugriffsrechte auf die elektronische Daten- 
datei im Datenarchiv aufgefuhrt sind, und einer Aufzeich- 

60 nung, in der Dokumentzugriffsrechte fiir jeden Computer 
mit Zugriff auf die im Archiv gespeicherten elektronischen 
Daten aufgefuhrt sind. Das Verfahren besteht aus der Aktua- 
lisierung einer Nachweisliste fiir eine im Archiv gespei- 
cherte elektronische Datendatei, der Idcntifikation aller von 

65 der Aktualisierung betroffenen Computer mit geandertem 
Zugriffsrechl auf die elektronische Datendatei, die Ubertra- 
gung der Anderung des Zugriffsrcchls an alle betroffenen 
Computer, die Aktualisierung der Zugriffsrechl- Aufzeich- 
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nungen aller betroffenen Computer und die Ubcrtragung der 
aktualisierten Zugriffsrecht-Aufzeich nungen an die betrof- 
fenen Computer. 

In einem weiteren Aspekt bietet die Erfindung ein siche- 
res System zum Suchen in einem Datenarchivsystem ge- 5 
speicherter elektronischer Daten, das Mitte] besitzt, um ei- 
nen Nachweis zu fiihren, in dem Zugriffskontrollen fur jede 
im Archiv gespeicherte elektronische Datendatei aufgefiihrt 
sind, und auBerdem Mittel, um den Zugriff auf jeden Nach- 
weis auf einen Computer mil Deponierungsrecht zu be- to 
schranken, Mittel, um eine Aufzeichnung zu fiihren, in der 
Zugriffsrechte auf die elektronischen Datendatei en fur jeden 
Computer mit Zugriffsrecht auf mindestens eine elektroni- 
sche Datendatei im Datenarchiv aufgefiihrt sind, und Mittel 
zum Aktualisieren der Aufzeichnung fur jeden Computer, 15 
der von einer Zu griff srechtanderung in einem Nachweis be- 
troffen ist. 

In der Erfindung werden auch Datentrager bereitgestellt, 
die mit Programmcode zur Realisierung des oben beschrie- 
benen Systems oder Verfahrens codiert sind. 20 

Kurzbeschreibung der Zeichnungen 

Im folgenden werden Ausfuhrungsbeispiele der Erfin- 
dung ausfiihrlich in Verbindung mit den beigefugten Zeich- 25 
nungen beschrieben. Die Zeichnungen haben folgenden In- 
halt: 

Fig. 1 ist eine Schemazeichnung von einem Dokumentar- 
chivsystem, das von einer drilten Parlei verwaltet wird. 

Fig. 2 ist eine Schemazeichnung, ahnlich wie Fig. 1, in 30 
der ein Tresor-Dokumentarchivsystem dargestellt ist, das in 
der bevorzugten Ausfuhrungsform der vorliegenden Erfin- 
dung verwendet wird. 

Fig. 3 ist ein FluBdiagramm des Dok u men ters tell ungs ver- 
fahrens gemaB der Erfindung. 35 

Fig. 4, bestehend aus Fig. 4A und Fig. 4B ist ein FluBdia- 
gramm des Dokumentabrufverfahrens gemaB der Erfindung. 

Fig. 5A und 5B sind FluBdiagramme eines Verfahrens, 
gemaB der bevorzugten Ausfuhrungsform der Erfindung, 
das fur die Unveranderlichkeit der Zugriffskontrolle fur Do- 40 
kumentsuche und -abruf sorgt. 

Fig. 6 schlieBlich ist ein FluBdiagramm eines erfindungs- 
gemaBen Verfahrens zur Zuordnung von Eignerzugriffs- 
rechten auf gespeicherte Dokumente. 

45 

Ausfuhrliche Beschreibung der bevorzugten Ausfuhrungs- 
fonnen 

Eine konventionelle Anordnung fur ein Dokumentarchiv- 
system, bei dem eine drilte Partei als Verwalter agiert, ist in 50 
Fig. 1 dargestellt. Ein Dokument urheber 100 kann Doku- 
mente iiber seine Verbindung 102 mil cincm fernen Doku- 
mentarchivdienst 104, z. B. einer von einer dritten Partei 
verwalteten Datenbank, deponieren. Als Eigner der depo- 
nierten Dokumente kann der Urheber 100 Zugriffsrechte auf 55 
die Dokumente zuweisen. Der Urheber eines Dokuments 
kann beispielsweise fesllegen, dass ein Geschaftspartner 
106 die "Lese"-Berechtigung hat, d. h. dass er das Doku- 
ment iiber seine Verbindung 108 mit dem Dokumentarchiv- 
dienst 104 abrufen, aber nichl andern darf. 60 

In solchen konventionellcn Systcmen ist das vom Urhe- 
ber 100 deponierte Dokument normalerweise nicht ver- 
schliisselt, so dass der Geschaftspartner 106 das Dokument 
auf Verlangen priifen kann. Der Grund dafur ist, dass es 
nach dem Stand der Technik Probleme mit der Dechiffrie- 65 
rung von Dokumenlen gibl. Fur die DechifTrierung eines 
Dokuments ist der Zugriff auf den privaten Schliissel des 
Dokumenturhebers 100 erforderlich. Um den Zugriff auf 
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seinen privaten Schliissel zu ermoglichen, muB der Doku- 
menturheber 100 entweder selber zu alien Zeiten, zu denen 
moglicherweise eine DechifTrierung angefordert werden 
konnte, online erreichbar sein, um die DechifTrierung selber 
vorzunehmen (die Frage der Systemverfugbarkeit), oder er 
muB im voraus einen Plan entwickcln, um seinen privaten 
Schliissel dem Geschaftspartner 106 direkt oder iiber einen 
vertrauenswiirdigen Proxy-Server (nicht dargestellt) zu- 
kommen zu lassen. 

In der US-Patentschrift Nr. 5,491,750 der International 
Business Machines Corporation, mit dem Ulel "Method and 
Apparatus for Three-Party Entity Authentication and Key 
Distribution Using Message Authentication Codes", wird 
ein System beschrieben, das die Verteilung privater Sit- 
zungsverwaltungsschlussel ermoglicht, die von zwei oder 
mehr Kommunikationspartnern gemeinsam benutzt werden 
konnen, nachdem die Kommunikationspartner durch einen 
vertrauenswiirdigen Vermittler authentifiziert worden sind. 
Die so erzeugten Schliissel und andere ahnliche sind aber 
kurzlebig und ihre Verwendung sollte auf das absolut Not- 
wendige beschrankt werden. Es ist nicht klar, dass ein sol- 
ches Konzept geeignet ware, DechifTrierschlussel in einem 
Dokumentrevisionssystem mit einem dauerhaften Doku- 
mentarchiv sicher zwischen Kommunikationspartnern zu 
ubertragen. 

In konventionellen Systemen, in denen Dokumente fur ei- 
nige Zeit deponiert werden und nicht chiffriert sind (Fig. 1), 
muB darauf vertraut werden, dass die dritte Partei, die den 
Archivdienst 104 verwaltet, die Integritat des Dokuments 
bewahrt. 

Das Dokumentarchivsystem in der bevorzugten Ausfuh- 
rungsform der vorliegenden Erfindung ist mit dem Produkt 
IBM Vault Registry erstellt, das Gegenstand der US-Patent- 
anmeldung Nr. 980,022 mil dem Titel "Secure Server and 
Method of Operation for a Distributed Information System", 
eingereicht am 26. November 1977 und der IBM Corpora- 
tion ubertragen, ist. U. S. Die Patentschrift Nr. 980,022 ist 
hiermit durch Bezugnahme Teil des vorliegenden Doku- 
ments. Das Produkt IBM Vault Registry bietet eine erwei- 
terte Webserver-Umgebung, die eine sichere Erweiterung, 
einen sogenannten Tresor, der Klientenumgebung imple- 
mentiert. Dieses System vertraut auf die im Hintergrund der 
Erfindung beschriebene moderne Ubertragungstechnologie, 
dass die elektronische Ubertragung von Dokumente n und 
anderen Daten inlakt und fehlerfrei ankommt. Ressourcen in 
einem Client-Tresor sind nur verfugbar, wenn der Zugriff 
vom Client nut einer starken Authentifizierung mil Hilfe 
von zertifizierten offentlichen Schliisseln erfolgt. Abhangig 
von der Umgebung kann der Zugriff iiber den Web-Browser 
des Client erfolgen. 

Der Informationsgehalt des Tresors ist aus Griindcn der 
Vertraulichkeit chifTriert. Jeder Tresor auf einem Server be- 
sitzt einen eindeutigen Chiffrierschlussel und Mechanis- 
men, die den Zugriff auf die Schliissel verhindern, sofern er 
nicht iiber den vom Eigner des Tresors genehmigten vertrau- 
enswiirdigen Pfad, z. B. einen Browser, erfolgt. Programme, 
die in einem Tresor laufen, sind durch Betriebssystemdien- 
ste isoliert, um folgendes zu gewaMeisten: 

a) dass sie in einem ProzeB mil einer Systemidentitat 
(einem virtucllcn Logon) laufen, so dass die Idenlitat 
abhangigen Prozessen zur Verfugung stehl, ohne dass 
eine Anderung durch ein im Tresor laufendes Pro- 
gramm moglich ist; 

b) dass sie auf den Dateninhall des Tresors, in dem sie 
laufen, zugreifen konnen - aber auf keinen anderen; 

c) dass sie vom Eigner des Tresors fur die Ausfuhrung 
im Tresor genehmigl werden; und 
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d) dass sie signiert sind, urn Manipulationen und An- 
griffe durch sog. "Trojanische Pferde" zu verhindern. 

Programme, die in einem Tresor laufen, konnen Informa- 
tionen in dem gleichen Tresor oder in anderen Tresoren, die 
gegenseitig sicheren Zugriff ihre offentlichen Schlussel ha- 
ben, deponierl werden. Norrnalerweise befinden sich diese 
Tresore auf dem gleichen Tresorserver, sie konnen aber auch 
auf verschiedenen Tresorservem mit ZugrifT auf eine ge- 
meinsame Zertifizierungsstelle liegen, die die Information 
zum offentlichen Schlussel liefert. Ini Zusammenhang mil 
einem Tresorarchiv kann "deponieren" verschiedenes be- 
deuten. In einer Implemenuerung kann "deponieren" die 
Chiffrierung der Daten im ChiffrierschlUssel des Zieltresors 
und die Signierung der Daten im Signierschliissel des depo- 
nierenden Tresors bedeuten. Tresorprogramme konnen nicht 
direkt auf Chiffrier- oder Signierschliissel zugreifen. Dies 
geschieht iiber eine API. Optional kann die "Deponierungs"- 
Funktion Inform ationen in eine Warteschlange im Zieltresor 
schreiben. Eine andere Option bietet einen "Deponierungs- 
beweis", der bestatigt, dass die Information deponiert 
wurde, und dass ein Programm im Zieltresor die Daten ge- 
offnet hat. All diese "Deponierungs"-Funktionen bieten ein 
Mittel, urn Informationen so zwischen Tresoren auszutau- 
schen, dass: 

a) ihr UrsprungsprozeB nicht geleugnet werden kann; 

b) ihr Inhalt nicht von denen, die die InterprozeBkom- 
inunikalionspufTer inspizieren, eingesehen werden 
kann; und 

c) die Zustellung gewahrleistet ist. 

Wenn eine Anwendung keine Daten in die Warteschlange 
des Zieltresors stellen will, kann sie sich dafur entscheiden, 
die Information in einer Datei oder Datenbank zu speichern 
oder andere Systemdienste zu benutzen, die die Daten als 
"undurchsichliges" Element behandeln konnen (z. B. Seria- 
lisierung fur die Fortdauer des Objekts). Diese undurchsich- 
tige Information kann mit Standardverfahren zum Zweck 
der Sicherung und Wiederherstellung verwaltet werden. Ihr 
Inhalt kann jedoch nur von einem im Kontext des Eignertre- 
sors laufenden Programm mit Hilfe der Sicherverwahrungs- 
Anwendungsprogrammschnitlstelle dechiffriert werden. 
Mit dem Produkt IBM Vault Registry wurde die bevorzugte 
Ausfuhrungsform der Erfindung entwickelt wie in Fig. 2 
schematisch dargestellt. 

Wie in dem System aus Fig. 1 kann auch in dem in Fig. 2 
dargestellten Konzept ein Dokumenturheber 200 Doku- 
mente tiber seine Verbindung 202 zu einem Dokumentar- 
chivdienst, 204 Dokumente deponieren und als Eigner der 
deponierten Dokumente dritten Parteien 206, z. B. Gc- 
schaftspartnern, die uber ihre eigenen Netzwerkverbindun- 
gen 208 auf die Dokumente im Dokumentarchivdienst 204 
zugreifen konnen, ZugrifTsrechte auf die Dokumente zuord- 
nen. Anders als bei dem oben beschriebenen System sind 
die Benutzer des Dokumentarchivsystcms aber nicht gc- 
zwungen, darauf zu verlrauen, dass die dritte Partei die Inle- 
gritat der im Archiv hinterlegten Dokumente bewahrt. 

Das Dokumentarchivsystem 204 in der bevorzugten Aus- 
fuhrungsform besteht aus zwei Komponenten, einem An- 
wendungsscrver 210 und einem Tresor- Controller 214. Der 
Anwendungsserver (AS) ist ein Programm zur Verwallung 
des Datenbankarchivs 212, das sich auf dem gleichen Sy- 
stem oder auf einem fernen System in einem abgeschlosse- 
nen Netzwerk behndel. Der Tresor-Controller 214 en thai t 
mehrere Komponenlen: Benutzertresore 216, 218, die indi- 
viduell den Dokumenturhebern 200 und Geschaftspartnern 
206 zugeteilt sind, einen AS-Tresor 220, der dem An wen- 
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dungsserver 210 zugeteilt ist, und ein Tresor-Uberwa- 
chungsprogramm 222. 

Ein Benutzertresor 216 oder 218 ist nur fur den Benutzer 
(Dokumenturheber 200 oder Geschaftspartner 206) zugang- 
5 lich, dem der Tresor zugeordnet ist, und nur nach ordnungs- 
gemaBer Authentifikation. Die einzelnen Tresore haben kei- 
nen direkten ZugrifT auf die Dokumentdatenbank 212; der 
ZugrifT erfolgt iiber den AS-Tresor 220 und den Anwen- 
dungsserver 210. 
10 Die Anwendungsserver-Komponente 210 lauft nicht auf 
einer vertrauenswurdigen Computerbasis, sondem kann auf 
jeder beliebigen Plattform ausgefuhrt werden. Der Anwen- 
dungsserver besitzt eine Gegenkomponente, die im AS-Tre- 
sor 220, der ihm im Tresorserver 214 zugeteilt ist, lauft. Der 
15 AS-Tresor 220 kann mit dem Anwendungsserver 210 kom- 
munizieren und hat iiber den Anwendungsserver ZugrifT auf 
die Dokumentdatenbank 212. 

Fig. 3 ist ein FluBdiagramm des Dokumenterstellungs- 
prozesses gemaB der bevorzugten Ausfuhrungsform der Er- 
20 flndung. In der Umgebung von IBM Vault Registry ist ein 
personlicher Tresor im Prinzip eine sichere Erweiterung der 
Umgebung des Tresoreigners. Die Interaktion zwischen den 
ProzeBschritlen in Fig. 3 ist deshalb zwischen den Tresoren 
des Dokumenturhebers und des Anwendungsservers darge- 
25 stellt. 

Wenn ein Dokument in dem Datenarchiv erstellt wird, 
wird es zuerst vom Axbeitsplatz des Benutzers, der es er- 
stellt hat oder sein Urheber ist, in den personlichen Tresor 
des Benutzers (Dokumenturhebers) gesendet (Block 300), 
30 wo das Dokument mit dem privaten Signierschliissel des 
Benutzertresors "signiert" wird (Block 302). 

Mit einer elektronischen Signatur eines Datenelementes 
garantiert der Signierende die Integritat des Datenelemen- 
tes. Eine Signatur kann berechnet werden, indem zuerst ein 
35 Digest des Datenelementes berechnet wird. Das Digest ist 
eine relativ kleine Struktur (z. B. 128 Bit fiir eine MD2- oder 
MD5-Zusammenfassung) mit bestimmten Eigenschaften, 
urn die Sichcrheit zu gewahrleisten. Erstens ist sie eine Ein- 
wegfunktion, d. h. aus einem Digest kann das Originaldoku- 
40 ment, aus dem es hervorgegangen ist, nicht reproduziert 
werden. AuBerdem ist es unmoglich (oder computertech- 
nisch nicht machbar), zu einem Digest ein zweites Vor-Bild 
zu finden, das das gleiche Digest hat. Ferner ist das Digest 
auch kollisionsresistent. Das heiBt, es ist auBerst unwahr- 
45 scheinlich, dass zwei verschiedene Vor-Bilder das gleiche 
Digest erzeugen. 

Das Digest des Datenelementes wird dann mit dem priva- 
ten Signierschliissel der Benutzertresoranwendung chiffriert 
(Block 304). In der bevorzugten Ausfuhrungsform wird so- 
50 wohl ein symmetrisches als auch ein asymmetrisches Kryp- 
toghraphieverfahren mit offenllichem Schlussel benutzt. 

Bei der Kryptographie mit offentlichem Schlussel besitzt 
eine Anwendung zwei Schlussel, einen offentlichen und ei- 
nen privaten, die als Schlusselpaar bezeichnet werden. Der 
55 private Schlussel wird von der Anwendung lokal gespei- 
chert und wird weiter untcn ausfuhrlichcr bcschrieben. Der 
ofientliche Schlussel ist fur alle Benutzer zuganglich, in der 
Regel iiber einen Verzeichnisdienst, z. B. X500. Die Verlei- 
lung offentlicher Schlussel ist in Fachkreisen bekannt und 
60 wird in der vorliegenden Spezifikation nicht weiter erlautert. 
Wenn cine Kryptographie mit offentlichem Schlusse 1 
verwendet wird, kann ein mit dem offentlichen Schlussel 
chiffriertes Datenelement nur mit dem zugehorigen privaten 
Schlusse! dechiffriert werden. Entsprechend kann ein mit 
65 dem privaten Schlussel chiffriertes Datenelement nur mit 
dem ofienl lichen Schlussel dechiffriert werden. 

In einer Technologie mit symmetrischem Schlussel wird 
fur Chiffrierung und Dechiffrierung derselbe Schlussel ver- 
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wendet. In der derzeitigen Praxis erfolgen Chiffrierung/De- 
chiffrierung und Schliisselgenerierung bei der Technologie 
mil symmctrischem Schliissel wesentlich schneller als bei 
der asymmetrischen Technologie mit offentlichem Schliis- 
sel. 5 

Daten werden normalerweise mil cinem nach dem £u- 
fallsprinzip generierten symmetrischen Schliissel chiffriert. 
Dann wird der symmetrische Schliissel selber mit dem 6f- 
fenllichen Chiffrierschliissel des Benutzers chiffriert und 
mit dem Dokument gespeichert, so dass er leil des Doku- 10 
ments wird. 

In Fig. 3 wird das chiffrierte Dokument und die elektroni- 
sche Signatur zum Zweck der Aufbewahrung an den Tresor 
des Anwendungsservers gesendet (Block 306). Nach Emp- 
fang des chiffrierten Dokuments (Block 308) beglaubigt die 15 
im Tresor des Anwendungsservers laufende Anwendung die 
Signatur (Block 310), indem sie mit ihrem eigenen privaten 
Signierschliissel noch einmal signiert. 

Die Beglaubigung einer Signatur in einem elektronischen 
Konlext bedeutet, dass eine dritte Partei, die als "Notar" fun- 20 
giert, den Inhalt einer Signatur zertifiziert. (Die Begriffe 
"Notar" und "beglaubigen" haben in dieser Spezifikation 
nicht den vollen Bedeutungsumfang aller Pflichten die ei- 
nem Notariat von einer Regierungsbehorde iibertragen wer- 
den.) Allgemein erfolgt eine elektronische Beglaubigung ei- 25 
ner Signatur als zusatzliche VorsichtsmaBnahme, urn eine 
spatere unberechtigte Anderung der Signatur zu verhindem. 
Im Fall der vorliegenden Erfindung verhindert die Beglaubi- 
gung einer digitalen Signatur des Benutzers, dass dieser das 
Originaldokument im Dokumentarchiv ersetzt oder andert. 30 
Eine Prufung der beglaubigten Signatur des Dokuments 
wurde jegliche Inkonsistenz ans Tageslicht bringen. 

Eine beglaubigte elektronische Signatur cnthalt zwei In- 
formationen, namlich die Signatur des belreffenden Dalen- 
elements durch den Urheber und die Signatur der Urhebersi- 35 
gnatur durch den Notar. Die Signatur des Notars sollte iiber 
die Urhebersignatur und den aktuellen Zeitstempel berech- 
net werden. 

Die Anwendung, die im Tresor des Anwendungsservers 
lauft, signiert dann das von ihr empfangene Dokument 40 
(Block 312). Da die Daten, die er vom Dokumenturheber 
empfangt, chiffriert sind, kennt der Anwendungsserver fak- 
tisch den Inhalt des Dokuments hicht. Deshalb wird gemaB 
der Erfindung diese zweite Signatur iiber das chiffrierte Do- 
kument und die beglaubigte Urhebersignatur berechnet. Die 45 
Signatur des Anwendungsservers stellt einen Empfangsbe- 
weis dar. der dem Dokumenturheber (demjenigen, der das 
Dokument deponiert), beweist, dass der Archivdienst das 
Dokument empfangen hat. Die Erstellung des Dokuments 
im Archiv kann dann spater nicht mehr vom Archivdienst 50 
geleugnet werden. 

Das chiffrierte Dokument, die beglaubigte Urhebersigna- 
tur und der Empfangsbeweis werden im Archiv des Anwen- 
dungsservers oder in der Anwendungsdatenbank gespei- 
chert (Block 314). Der Empfangsbeweis wird an den Tresor 55 
des Dokumenturhebers gesendet (Block 316). Der Tresor 
des Dokumenturhebers priift die Rjchligkcil des Empfangs- 
beweises (Block 318), indem die Signatur des chiffrierten 
Dokuments uberpruft wird. Der Tresor des Dokumenturhe- 
bers priift auch die Aktualitat des Zeitstempels in der be- 60 
glaubigtcn Signatur (Block 320). Die Toleranz fur den Zeit- 
stempel hangt von der Anwendung ab. Wenn bei einer dieser 
Priifungen ein Fehler erkannt wird, wird eine Fehlermel- 
dung an den AS-Tresor gesendet (Block 322) und im Sy- 
stem prolokolliert. Wenn der Empfang korrekt und aktuell 65 
ist, sendet die Anwendung, die im Tresor des Benuizers 
lauft, den Empfangsbeweis an den verursachenden Benutzer 
zuriick (Block 324), damit sie fur eine spatere Referenz in 



einem lokalen Cache gespeichert wird, falls bewiesen wer- 
den muB, dass das Dokument im Archiv gespeichert worden 
ist. 

Es ist moglich, dass der Dokumenturheber das Dokument 
mit einem eigenen Verfahren signieren und/oder chiffrieren 
kann, bevor er es zur Speichcrung in seinen Tresor sendet. 
Das Dokumentarchiv beachtel den Inhalt des zu speichern- 
den Dokuments aber nicht. Ein chiffriertes Dokument wird 
deshalb vom Tresor des Benutzers erneut signiert und chif- 
friert, wie jedes andere Dokument. 

Fig. 4 ist ein FluBdiagramm, in dem dargestellt ist, welche 
Schritte gemaB der bevorzugten Ausfuhrungsform der Erfin- 
dung ausgefuhrt werden miissen, damit das Dokument von 
einem anfordemden Benutzer abgemfen werden kann, der 
unter einem von Dokumenturheber verwalteten Nachweis- 
typ, der als Zugriffskontroll-Liste (ACL) bezeichnet wird, 
autorisiert worden ist. Wie in Fig. 3 sind die Verfahrens- 
schritte zwischen drei Aktoren, namlich Benutzer, Anwen- 
dungsserver und Anforderer, aufgeteilt, auf der Basis, dass 
deren personliche Tresore im Prinzip sichere Erweiterungen 
ihrer betreffenden Arbeitsbereiche sind. 

In Fig. 4 A stellt der Benutzer an seine Tresoranwendung 
eine Anforderung, ein Dokument aus dem Anwendungsser- 
verarchiv abzurufen (Block 400), und seine Tresoranwen- 
dung sendet dann ihrerseits die Dokumentabrufanforderung 
an den Anwendungsserver-Tresor (Block 402). 

Die Tresoranwendung des Anwendungsservers empfangt 
die Zugriffsanforderung (Block 404) und ruft das chiffrierte 
Dokument und die beglaubigte Signatur aus der Anwen- 
dungsdatenbank ab. 

Die Tresoranwendung des Anwendungsservers sendet 
das chiffrierte Dokument und die beglaubigte Signatur an 
den Tresor des Dokumenturhebers. Der Tresor des Anwen- 
dungsservers sendet auch die Identitat des anfordemden Be- 
nutzertresors an den Tresor des Urhebers (Block 408). 

Der Tresor des Urhebers priift, ob der anfordernde Benut- 
zer die Berechtigung zum Abrufen des Dokuments besitzt 
(Block 410). In der bevorzugten Ausfuhrungsform wird die 
Dokumentzugriffskontrolle durch Zugriffskontroll-Listen 
aktiviert, mit denen der Zugriff auf das Dokument auf auto- 
risierte Stellen beschrankt wird. Eine Zugriffskontroll-Liste 
(ACL) ist einem Dokument zugeordnet und wird im Tresor 
des Dokumenturhebers gespeichert und verwaltet wie weiter 
unten im Zusammenhang mit Fig. 5 A und Fig. 6 beschrie- 
ben. Die ACL muB gepriift werden, wenn ein Benutzer eine 
Dokumentabrufanforderung sendet. Ein anfordemder Be- 
nutzer erhalt nur eine Kopie des Dokuments, wenn er das 
ZugrifTsrecht besitzt. 

In der bevorzugten Ausfuhrungsform der Erfindung kon- 
nen Fahigkeitslisten benutzt werden, damit anfordernde Be- 
nutzer ihrZugriffsrecht auf Dokumcntc im voraus verifizie- 
ren konnen. In einer Fahigkeitsliste sind alle Dokumente in 
einem Archiv aufgefuhrt, fiir die ein bestimmter Benutzer 
das Zugriffsrecht besitzt. Die Fahigkeitsliste eines anfor- 
demden Benutzers wird in seinem eigenen Tresor gespei- 
chert und verwaltet. Der Anfordernde braucht nur diese Li- 
sle durchzusehen, um fesizusiellcn, auf welche Dokumente 
er zugreifen kann. Verwendung und Verwaltung der Fahig- 
keitslisten werden im Zusammenhang mit Fig. 5B ausfuhr- 
licher beschrieben. 

Wenn der anfordernde Benutzer kcine Zugriffsberechti- 
gung auf das Dokument besitzt, wird eine Fehlermeldung an 
den Urheber gesendet und im System prolokolliert (Block 
414). 

In Fig. 4B wird, wenn der anfordernde Benutzer die Zu- 
griff sberechtigung fiir das Dokument besitzl, das Dokument 
von der Tresoranwendung des Urhebers dechiffriert (Block 
416) und die beglaubigte Signatur uberpruft (Block 418). Da 
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die Originalsi gnalur des Urhebers iiber den unchiffrierten 
Dokumentinhalt berechnet wurde, konnen nur diejenigen 
Benutzer, die auf den Dokumentinhalt zugreifen konnen 
(d. h. die den privaten Schlussel des Urhebers besitzen), die 
Signatur prufen. Wenn die empfangene Signatur nicht dem 
entspricht, was der Dokumenturheber in seinen eigenen Da- 
teien stehen hat, ist klar, dass es sich nicht um dieselbe Ver- 
sion des Dokuments handelt, die deponiert wurde, und der 
Urheber sendet eine Fehlemachricht an den Anwendungs- 
server (Block 420). 

Wenn die Signatur gepruft worden ist, sendet der Urheber 
das dechiffrierte Dokument und die beglaubigte Signatur an 
den Tresor des anfordemden Benutzers (Block 422). 

Nach Empfang des dechifTrierten Dokuments versucht 
die Tresoranwendung des anfordemden Benutzers, die be- 
glaubigte Signatur des Urhebers zu prufen (Block 424). 
Wenn der anfordernde Benutzer sie nicht verifizieren kann, 
wird eine Fehlermeldung an den Urheber gesendet und im 
System protokolliert (Block 426). 

Wenn die beglaubigte Signatur des Urhebers verifiziert 
werden kann, signiert der Tresor des Anfordemden die mit 
dem Dokument empfangene beglaubigte Signatur. Diese Si- 
gnatur wird iiber die beglaubigte Signatur und liber den ak- 
tuellen Zeitstempel berechnet und stellt. einen Zustellungs- 
beweis dar (Block 428), der belegt, dass der anfordernde Be- 
nutzer das Dokument aus dem Archiv abgerufen hat. Der 
Tresor des Anfordemden sendet das dechiffrierte Dokument 
zusammen mit dem von ihm generierten Empfangsbeweis 
an den Arbeitsplatz des Anfordemden (Block 430). Der Tre- 
sor des Anfordemden sendet auch den Empfangsbeweis an 
den Anwendungsserver-Tresor (Block 432). Der Anwen- 
dungsserver verifiziert die Signatur des Anforderertresors 
auf dem Empfangsbeweis (Block 434). Wenn die Signatur 
nicht verifiziert werden kann, wird eine Fehlermeldung an 
den Urheber gesendet und im System protokolliert (Block 
436). Wenn die Signatur verifiziert werden kann, speichert 
der Anwendungsservertresor den Beweis in den Anwen- 
dungsdatenbank, falls der Anwendungsserverspater nach- 
weisen muB, dass der Anfordernde das Dokument tatsach- 
lich abgerufen hat. 

Unveranderlichkeit der ZugrifTskontrolle fur den Doku- 
mentabruf 

Wie bereits erwahnt besteht in einem Datenarchiv die 
Notwendigkeit eine Dokumentzugriffskontrolle. Dies be- 
deutet, dass nur die vom Dokumenteigner autorisierten Be- 
nutzer Einsicht in die Dokumenle haben, und dass Doku- 
mentzugriffserlaubnisse nur vom Dokumenteigner (d. h. 
vom Urheber) selber und von den Personen, die vom Doku- 
menteigner die Berechtigung zum Andern der Zugriffskon- 
trolI-Listc fur das Dokument erhalten haben, geandert wer- 
den konnen. Es ist wichtig, dass sichergestellt ist, dass selbst 
der Archivverwalter nicht in der Lage ist, ohne Autorisie- 
rung durch den Dokumenteigner die Zugriff sberechtigungen 
fur ein Dokument. zu andern. 

Es gibt zwci vcrschiedcne Artcn von Anwendungsanfor- 
derungen fur die Unveranderlichkeit der Dokumentzugriffs- 
kontrolle. Der Dokumentzu griff muB in folgenden Fallen 
gepruft werden: 

1) wenn ein Benutzer eine Suche durchfuhrt, um alle 
Dokumente zu finden, fur die er die Berechtigung zum 
Betrachten hat und 

2) wenn ein Benutzer tatsachlich ein Dokument abruft. 

Alle Anwendungen miissen die ZugrifTskontrolle beim 
Dokumentabruf (Zugriffsart 2) erzwingen. Fur diese Zu- 



griffsart muB das Archiv garantieren, dass die ZugrifTskon- 
trolle eines Dokuments nicht von einem nicht autorisierten 
Benutzer, z. B. einem Konkurrenten, geandert werden kann. 
In einigen Anwendungen ist es aber nicht erforderlich, 
5 dass ein Benutzer nicht das Dokument abfragen kann, um 
festzustellen, welche Dokumente er betrachten darf. Dieses 
Wissen kann z. B. offline in geschaftlichen Besprechungen 
oder telefonisch ubermittelt werden. In einem solchen Fall 
weiB der Benutzer bereits, auf welche Dokumente er zugrei- 
10 fen kann, und seine Kenntnis seines eigenen Dokumentzu- 
griffs kann nicht von Aktionen des Archivs beeinfluBt wer- 
den. 

Ein System, das die Unveranderlichkeit der ZugrifTskon- 
trolle nur beim Dokumentabruf, aber nicht bei der Doku- 

15 mentsuche erzwingt, ist Gegenstand unserer gleichzeitigen 
Anmeldung mit dem Titel "System for Electronic Reposi- 
tory of Data Enforcing Access Control on Data Retrieval" 
(kanadische Patentanmeldung 2,256,934). Die diesem Sy- 
stem wird die Zugriffskontrollinfomiation in der Datenbank 

20 bzw. irn Archiv des Anwendungsservers gespeichert. 

Eine strengere Form der Unveranderlichkeit der ZugrifTs- 
kontrolle, die dort verwendet werden sollte, wo Benutzer 
nicht iiber unabhangige Information iiber ihren Dokument- 
zugriff verfiigen, betrifft sowohl die Doku mentsuche als 

25 auch den Dokumentabruf. Fur diese Forderung kann die Zu- 
griffskontrollinforrnation nicht in der Anwendungsdaten- 
bank gespeichert werden. Statt dessen wird sie im Tresor des 
Dokumenteigners gespeichert. Dieses Schema ist Gegen- 
stand der vorliegenden Erfindung und wird durch die FluB- 

30 diagramme in Fig. 5 und Fig. 6 illustriert und weiter unten 
beschrieben. 

In der vorliegenden Ausfuhrungsform ist jedem Doku- 
ment eine ZugrifTskontroll-Liste (ACL) zugeordnet, die die 
DokumentzugrifTsberechtigung verschiedener Benutzer 

35 festlegt. AuBerdem besitzt jeder Benutzer im System eine 
Fahigkeitsliste, in der alle gespeicherten Dokumente, von 
denen der Benutzer nicht der Eigner ist, auf die er aber zu- 
greifen kann, identifiziert werden. 

Um die Unveranderlichkeit zu garantieren, wird jede 

40 ACL im Tresor des Dokumenturhebers verarbeitet, wie in 
Fig. 5A dargestellt, und parallel dazu wird jede Fahigkeits- 
liste im entsprechenden Benutzertresor verarbeitet wie in 
Fig. 5B dargestellt. 

In Fig. 5A stellt der Tresor des Dokumenteigners nach ei- 

45 ner Aktualisierung einer ACL (Block 500) test, welche Be- 
nutzer von der Anderung betroffen sind (Block 502), und 
eine Nachricht, in der die Art der Zugriffsanderung (Hinzu- 
fugung, Erweiterung oder Beschrankung) angegeben wird, 
wird im Tresor jedes Benutzers deponiert, dessen ZugrifTs- 

50 recht auf das Dokument geandert worden ist (Block 504). 
Jeder ACL ist eine Versionsnummer und ein Zeitstempel 
der letzten Anderung zugeordnet. Der Tresor des Doku- 
menteigners erhoht dann inkrementell die Versionsnummer 
der ACL (Block 506) und ersetzt deren alten Zeitstempel 

55 durch den aktuellen Zeitstempel (Block 508). Aus der aktu- 
ellen Versionsnummer und dem Zeitstempel, die der ACL 
jetzt zugeordnet sind, wird ein Token, das die Unverander- 
lichkeit der ACL garantieren soil, erstellt und vom Tresor 
des Dokumenturhebers signiert (Block 510). Die ACL wird 

60 ebenfalls vom Tresor des Dokumenturhebers signiert (Block 
512). 

Das ACL- Token wird dann an den Tresor jedes zum Zu- 
griff auf das Dokument berechtigten Benutzers gesendet, wo 
es zur Speicherung mit der Zugriffsanwendung des Benut- 
65 zers auf dessen Arbeitsplatz gespeichert wird (Block 514), 
damit eine spat ere Verifizierung der ACL inbglich ist. Das 
signierte Token wird zur Speicherung an den Arbeitsplatz 
des Dokumenturhebers gesendet (Block 516). Da der Doku- 
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menturheber eine Kopie des signierlcn Tokens besitzt, wird 
er Ietztlich zum Arbiter daruber, ob die Dokument- ACL ak- 
tuell ist oder nicht. 

Wenn ein Geschaftspartner ein Dokument abrufen 
mochte, sendet die AS-Tresoranwendung das chifFrierte Do- 5 
kument wie oben beschrieben an den Tresor des Urhebers 
(Block 408 in Fig. 4A). Um die Berechtigung des Anfor- 
demden zu verifizieren (Block 412 in Fig. 4A), schaut der 
Tresor des Dokurnenturhebers einfach in der lokal gespei- 
cherten verifizierten ACL nach, ob der Anfordernde das Zu- 10 
griffsrechl auf das angegebene Dokument besitzt. Mil die- 
sem Verfahren kann niemand die in der Anwendungsdaten- 
bank gespeicherte ACL andem, ohne dass dies vom Tresor 
des Dokurnenturhebers bemerkt wird. 

Wie oben beschrieben besitzt jeder Benutzer, der Eigner 15 
von Dokumenten im Archiv ist, auf seinem Arbeitsplatz die 
signierten Tokens der korrekten Version jeder ACL. Die 
ACL-Versionen im Benutzertresor werden verifiziert, indem 
das auf dem Arbeitsplatz des Benutzers gespeicherte Token 
mil dem im Benutzertresor gespeicherten verglichen wird. 20 
Dieser Vergleich kann zu verschiedenen Zeiten ausgefuhrt 
werden; eine gute Gelegenheit zur Verifizierung der in ei- 
nem Benutzertresor gespeicherten ACLs ist das Logon, so 
dass jedesmal, wenn sich ein Benutzer beim System anmel- 
det, die ACLs verifiziert werden. 25 

Wenn die Verifizierung der ACL nicht gelingt, kann die 
Benutzertresoranwendung automatisch die Verarbeitung 
jeglicher Anforderung, ein von der ACL geschutztes Doku- 
ment abzurufen, einstellen. Dieser Zustand der Unverander- 
lichkeit des Dokuments wiirde weiterbestehen, bis der Be- 30 
nutzer entweder eine neue ACL erstellt oder die vorhandene 
ACL neu zertifiziert. Der ProzeB der Rezertifizierung der 
vorhandenen ACL wiirde die Synchronisierung des im Be- 
nutzertresor gespeicherten ACL-Tokens mil dem auf dem 
Arbeitsplatz des Benutzers gespeicherten Token einschlie- 35 
Ben. 

Bei jeder Aktualisierung einer ACL werden parallel zu 
den in Fig. 5 A aufgefiihrten Schritten einige andere Schritte 
ausgefuhrt. Diese zusatzlichen Schritte sind in Fig. 5B dar- 
gestellt. 40 

Jeder Benutzertresor ist fur die Verwaltung einer Fahig- 
keitsliste zustandig, die eine Auflistung aller Dokumente, 
auf die der Benutzer zugreifen darf, enlhalt. Die Aktualilat 
der Fahigkeitsliste selber wird durch eine Versionsnummer 
und einen neuesten Zeitstempel identifiziert. Wenn eine 45 
Nachricht, die eine Anderung der Zugriffsmbglichkeit eines 
Benutzers auf ein Dokument (eine Aktualisierung einer Do- 
kument-ACL) mitteilt, im Tresor des Benutzers eingeht 
(Block 520), wird die Fahigkeitsliste im Tresor des Benut- 
zers automatisch mit Versionsnummer (Block 522) und 50 
neuestem Zeitstempel (Block 524) aklualisiert. Uber die 
Versionsnummer und den Zeitstempel (Block 526) wird ein 
Token berechnet, das zur Verifizierung der Richtigkeit der 
Fahigkeitsliste verwendet werden kann. Das Token wird 
vom Tresor des Benutzers signiert (Block 528), und die Fa- 55 
higkeitsliste ebenfalls (Block 530). Das signiertc Token und 
die signierte Fabigkeilslisie werden im Tresor des Benutzers 
gespeichert (Block 532), der Tresor des Benutzers bewahrt 
aber die alte Fahigkeitsliste und ihr Token auf, da das Token 
fur die alte Fahigkeitsliste dem auf dem Arbeitsplatz des Be- 60 
nutzers gespeicherten Token cntspricht, bis eine Aktualisie- 
rung vorgenommen werden kann. 

Eine Moglichkeit zur Synchronisation der aktuellen Fa- 
higkeitsliste mit dem auf dem Arbeitsplatz gespeicherten 
Token des entsprechenden Benutzers besteht darin, dies au- 65 
lomatisch zu tun, wenn sich der Benutzer beim System an- 
meldet (Block 532). Die Richtigkeit des Tokens auf dem Ar- 
beitsplatz des Benutzers kann mit dem im Tresor des Benut- 
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zers aufbewahrten alten Token verglichen werden, und dann 
kann das aktualisierte Token an den Arbeitsplatz des Benut- 
zers gesendet werden (Block 534). Sobald das alte Token 
auf dem Arbeitsplatz des Benutzers ersetzt worden ist, kann 
die alte Fahigkeitsliste und ihr Token aus dem Tresor des 
Benutzers geloscht werden. 

Eine andere Alternative zur Aktualisierung des Tokens 
der Fahigkeitsliste auf dem Arbeitsplatz des Benutzers 
(nicht dargestellt) zu aktualisieren, ware, dass der Benutzer 
die Initative ergreifen muB, um Aktualisierungen der Fahig- 
keitsliste seil seiner letzlen Amneldung beim System festzu- 
stellen. 

Um die Zusammengehorigkeit von ACLs und den Fahig- 
keitslisten sicherzusteilen, muB die Umgebung, auf der das 
System basiert (z. B. das Produkt IBM Vault Registry) eine 
garanlierte Nachrichtenzustellung fur Nachrichten, die von 
einem Tresor in einem anderen deponiert werden, bieten. 
Die Garantie der Zustellung einer Fahigkeitsliste kann auch 
durch die Anwendung erfolgen, indem z. B. eine Bestati- 
gung von dem Benutzer, der die Aktualisierung empfangt, 
gefordert wird. 

Als Resultat dieses Schemas werden ACL und Fahig- 
keitsliste von ihren Eignem gespeichert. Keine Partei im Sy- 
stem kann die ZugrifTskontrolI-Liste eines Dokuments an- 
dem, ohne dass der Dokumenteigner dies erfahrt. AuBerdem 
kann keine Partei im System das Wissen eines Benutzers 
uber sein Zugriffsrecht auf ein Dokument (d. h. eine Fahig- 
keit) andern, ohne dass der autorisierte Benutzer dies be- 
merkL 

Im Gegensatz zu dem Zugriffskontrollschema, das in un- 
serer oben genannten, gleichzeitig anhangigen Anmeldung 
beschrieben wird, wo die Suche im Tresor des Anwendungs- 
servers stattfindet, erfolgt in der vorliegenden Erfindung die 
Suche nach Dokumenten, fur die ein Benutzer die ZugrifTs- 
berechtigung besitzt, in der Tresoranwendung des Benutzers 
selber. 

Zuordnung von EignerzugrifTsrechten 

In manchen Umgebungen muB der Dokumenteigner die 
Moglichkeit haben, einer arideren Person die Erlaubnis zum 
Andern der ZugrifTsliste des Dokuments zu erteilen. Zum 
Beispiel wenn der Eigner nicht da ist, kann ein anderer auto- 
risierter Benutzer in der Lage sein, die Zugriffskontrolle fur 
das bestimmte Dokument zu aktualisieren. 

In einer bevorzugten Ausfuhrungsform der Erfindung 
kann die Aktualisierung von ACLs oder Fahigkeitslisten 
von anderen Benutzem im System durchgefiihrt werden, in- 
dem die in Fig, 6 dargestellten Schritte ausgefuhrt werden. 

Zum Beispiel wenn eine Aktualisierung der ACL ver- 
sucht wird, muB der Benutzer, der die Aktualisierung vor- 
nimmt, in der Lage sein, das aktuelle signierte Token fur die 
ACL vorzulegen (Block 600). Das signierte Token wird zum 
Tresor des Benutzers gesendet (Block 602), der das signierte 
Token an den Tresor des Urhebers ubergibl (Block 604). 
Wenn dem aktualisierenden Benutzer in der ACL dieses Do- 
kuments keine Eignerzugriffsrechle zugewiesen worden 
sind, dann erkennt der Tresor des Dokumenteigners dies, 
und er verweigert die Aktualisierung und sendet eine Feh- 
lermeldung an den Tresor des Benutzers (Blocke 606 und 
608). 

Wenn der Tresor des Urhebers das Zugriffsrecht des si- 
gnierenden Benutzers auf das Dokument verifizieren kann, 
und wenn festgestellt wird, dass die Versionsnummer und 
der Zeitstempel des ACL-Tokens aktuell sind (Block 606), 
wird die ACL aktualisiert (Block 610), und ein neues Token 
wird generiert und signiert (Block 612) und im Tresor des 
Urhebers gespeichert (Block 714). Das neu signiertc Token 
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wird an den Tresor des Dokumenturhebers gescndet (Block 
616). Der Tresor des Aktualisierenden sendet das neue To- 
ken zur Speicherung an dessen Arbeitsplatz zuriick (Block 
618). Das neu signierte Token kann optional auch zur Spei- 
cherung im Arc hi v an den Tresor des Anwendungsservers 5 
gesendet werden (Block 620). 

Dieses Verfahren verlangt, dass zu jedern Zeiipunkt nur 
eine einzige Person eine ACL-Aktualisierung durchfuhrt. 
Wenn zum Beispiel ein Dokumenleigner John Urlaub 
nimmt, kann er einer Mitarbeiterin Mary erlauben, die ACL 10 
seines Dokuments in seiner Abwesenheit zu aktualisieren, 
indem er Mary sein aktuelles Token fiir die ACL des Doku- 
menls gibt. Mary fiihrt dann eine ACL-Aktualisierung 
durch, indem sie das Token durch ihren Tresor John's Tresor 
vorlegt. Mary empfangt das neu signierte Token fiir die ACL 15 
und gibt es John bei seiner Riickkehr wieder zuriick. Nach 
der Installation des neuen Tokens kann John selber eine 
ACL-Aktualisierung vornehmen. 

Datensicherung und -wiederherstellung 20 

Gelegentlich kann es notwendig sein, dass der Verwalter 
des Dokumentarchivs die Dokumentdatenbank aus einem 
vorherigen Backup wiederherstellt. Dies kann beispiels- 
weise bei einem katastrophalen Datenbankfehler, z. B. bei 25 
einem Festplattendefekt, der Fall sein. 

Die zu sichemden Daten sind die Dokumente selber, die 
ACLs (entweder in der Anwenderdatenbank oder in den 
Eignertresoren gespeichert), die Fahigkeitenlisten (fur die 
Systeme, in denen sie implementiert sind, wie oben be- 30 
schrieben), und die Veriflkationstokens von ACLs und Fa- 
higkeitslisten. 

Nach einer Ruckspeicherung der Daten konnen Aktualie- . 
rungen, die nach der letzten Sicherung vorgenommen wur- 
den, verloren gegangen sein. Fiir die Zwecke der vorliegen- 35 
den Erfindung konnte es sich dabei auch um ACL- und Fa- 
higkeitslisten-Aktualisierungen handeln. Wenn dies ge- 
schieht, stimmen die auf den Benutzerarbeitsplatzen gespei- 
cherten Verifizierungstokens moglicherweise nicht mehr mit 
den Tokens in den entsprechenden Tresoren u herein, so dass 40 
die Benutzer keinen Zugriff mehr haben. Deshalb wurde als 
Standard fur die Datenwiederherstellung in verschiedenen 
Situationen das folgende System implementiert. Es wird an- 
genommen, dass die Sicherung zum Zeitpunkt ZEIT1 er- 
folgte, und die Ruckspeicherung zu einem spateren Zeit- 45 
punkt ZEIT2. Wenn eine vollstandige Ruckspeicherung der 
Dokumentdatenbank, der ACLs, der Fahigkeitslisten und 
der entsprechenden in den Tresoren gespeicherten Tokens 
durchgefuhrt wird, konnen die Benutzer, die vor ZEIT1 auf 
ein Dokument zugreifen konnten, dies auch nach ZEIT2 tun. 50 
Dies bedeutet, dass wenn ein Benutzer vor ZEIT1 berechtigt 
war, die Berechtigung aber zwischen ZEIT1 und ZEIT2 wi- 
derrufen wurde, dieser Benutzer dennoch auf das Dokument 
zugreifen kann, bis derEignerdes Dokuments das ACL-To- 
ken prufl. Nach einer vollstandigen Datenruckspeicherung 55 
sollten deshalb alle Benutzer eine Prufung der ACL und der 
Fahigkeitsliste durch fiihren. 

Wenn nur die Dokumentdatenbank zuruckgespeichert 
wurde und die ACLs, die Fahigkeitslisten und die in den 
Tresoren gespeicherten Tokens unberuhrt geblieben sind, 60 
konnen Benutzer feststellcn, dass sie das Zugri fTsrechl fiir 
ein Dokument besitzen, das gar nicht in der Datenbank ge- 
speichert ist, da das Dokument nach ZEIT1 hinzugefiigt 
wurde, aber nachher bei der Ruckspeicherung der Daten- 
bank verloren gegangen ist. Da alle Tokens aklucll sind, gibt 65 
es keine weileren Anomalien. 

Ein anderer Fall liegt vor, wenn in einem System keine 
Fahigkeitslisten benutzt werden, die ACLs aber in der An- 
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wendungsdatenbank gespeichert werden. Wenn die Doku- 
mentdatenbank und die ACL zuruckgespeichert worden 
sind, wahrend die in den Tresoren gespeicherten Tokens 
nicht zuruckgespeichert wurden, stellen die Benutzer fest, 
dass alle Dokumente, deren ACL nach ZEIT1 geandert wur- 
den, nicht mehr zuganglich sind. Dies kommt daher, dass die 
ACL-Tokens in der An wendungsdatenbank nicht mit den in 
den Tresoren der einzelnen Eigner gespeicherten Tokens 
ubereinstimmen. Um dieses Problem zu losen, miissen alle 
Dokumenteigner die ACLs aktualisieren. Eine Moglichkeit 
dazu ist, dass der Verwalter die alten ACLs (die zu ZETT1 in 
Kraft waren), den Dokumenteignern sendet und sie bittet, 
die entsprechenden Tokens in ihren Tresoren neu zu instai- 
lieren. Diese Aktualisierung wird manuell, nicht automa- 
tisch, vorgenommen, und die Dokumente eines Eigners sind 
unzuganglich, bis er die Aktualisierung durchgefuhrt hat. 

In Situationen, in denen Datenbankinkonsistenzen ver- 
mieden werden miissen, kann der Archivverwalter nach ei- 
ner Ruckspeicherung den Zugriff auf alle Dokumente sper- 
ren, bis der Urheber FehlerbehebungsmaBnahmen ergriffen 
hat. Diese Sperre kann fur alle Dokumente im Archiv gelten 
oder nur fur einen Teil der Dokumente, bei denen die Konsi- 
stenz am kritischsten ist. In diesem Fall muB man sich auf 
den Archivverwalter verlassen, um die Konsistenz des Sy- 
stems zu wahren. Wie bereits erwahnt hat der Verwalter aber 
in keinem Fall die Moglichkeit, Benutzerzugriffsrechte auf 
ein Dokument zu erteilen oder zu widerrufen. 

In der obigen Beschreibung wurden bevorzugte Ausfuh- 
rungsfonnen der vorliegenden Erfindung mittels des Pro- 
dukts IBM Vault Registry beschrieben. Dem Fachmann ist 
aber klar, dass die vorliegende Erfindung auch mit anderen 
Produkten, die uber ahnliche Funktionen verfugen, imple- 
mentiert werden konnte, z. B. mit sicheren tresorahnlichen 
Umgebungen, die sich lokal auf dem Arbeitsplatz der ein- 
zelnen Benutzer befinden. Solche und andere Abwandlun- 
gen, die fur den Fachmann offensichtlich sind, sollen eben- 
falls unter den Schutzumfang der beigefugten Anspruche 
fallen. 

Patentanspruche 

1. Ein sicheres System zum Suchen von elektroni- 
schen Datendateien, die in einem Datenarchivsystem 
gespeichert sind, umfassend: 
eine Kommunikationsumgebung mit 

(i) einem ersten Agentenprogramm fur einen 
Computer, der eine elektronische Datendatei im 
Datenarchivsystem deponiert, und 

(ii) einem zweiten Agentenprogramm fur einen 
ersten Benutzercomputer mit Zugriffsrecht auf die 
elektronische Datendatei; 

einer Nachweisliste fur die elektronische Datendatei, in 
der Zugriffskontrollen fiir die elektronische Datendatei 
aufgefuhrt sind, wobei die Nachweisliste fur das erste 
Agentenprogramm zuganglich ist und von diesem ver- 
waltet wird; 

eine ersle Aufzeichnung der Zugri ffsrechte des ersten 
Benutzercomputers auf die elektronische Datendatei, 
wobei die erste Aufzeichnung fur das zweite Agenten- 
programm zuganglich ist und von diesem verwaltet 
wird; 

Mittel, um Anderungen an der Nachweisliste, die die 
Zugri ffsrechte des ersten Benutzercomputers auf die 
elektronische Datendatei betreffen, vom ersten Agen- 
tenprogramm an das zweite Agentenprogramm zu sen- 
den, um die erste Aufzeichnung zu aktualisieren; und 
Mittel, mit denen das erste Agentenprogramm die Zu- 
griffsrechte des ersten Benutzercomputers auf die elek- 
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tronische Datendatei prufen kann, bevor die cleklroni- 
sche Datendatei ftir das zweite Agentenprogramm frei- 
gegeben wird. 

2. Das sichere System nach Anspruch 1, wobei das er- 
ste Agentenprogramm eine sichere Erweiterung des de- 5 
ponierenden Computers und das zweite Agentenpro- 
gramm eine sichere Erweiterung des ersten Benutzer- 
computers ist. 

3. Das sichere System nach Anspruch 2, das auBerdem 
Mittel besitzt, um die Anderungen der Nachweisliste, 10 
die die ZugrifTsrechte des ersten Benutzercomputers 
auf die eiektronische Datendatei betreffen, vom zwei- 
ten Agentenprogramm an den ersten Benutzercompu- 
ter zu senden. 

4. Das sichere System nach Anspruch 1 oder 2, das au- 15 
Berdem folgendes umfafil: 

ein drittes Agentenprogramm ftir einen zweiten Benut- 
zercomputer mit Zugriffsrecht auf die eiektronische 
Datendatei; und 

eine zweite Aufzeichnung der ZugrifTsrechte des zwei- 20 
ten Benutzercomputers auf die eiektronische Datenda- 
tei, wobei die Aufzeichnung fur das dritte Agentenpro- 
gramm zuganglich ist und von diesem verwaltet wird, 
und wobei das Mittel um die Anderungen an der Nach- 
weisliste, die die Zugriffsrechte des ersten Benutzer- 25 
computers auf die eiektronische Datendatei betreffen, 
zur Aktualisierung der ersten Aufzeichnung an das 
zweite Agentenprogramm zu ubertragen, Mittel um- 
faBt, um Anderungen an der Nachweisliste, die die Zu- 
grifTsrechte des zweiten Benutzercomputers auf die 30 
eiektronische Datendatei betreffen, zum Aktualisieren 
der zweiten Aufzeichnung vom ersten Agentenpro- 
gramm an das dritte Agentenprogramm zu ubertragen; 
und 

wobei das Mittel, mit dem das erste Agentenprogramm 35 
die Zugriffsrechte des ersten Benutzercomputers auf 
die eiektronische Datendatei verifiziert, bevor die eiek- 
tronische Datendatei fur das zweite Agentenprogramm 
freigegeben wird, ein Mittel urnfaBt, mit dem das erste 
Agentenprogramm die Zugriffsrechte des zweiten Be- 40 
nutzercomputers auf die eiektronische Datendatei veri- 
fiziert, bevor die eiektronische Datendatei fur das dritte 
Agentenprogramm freigegeben wird. 

5. Das sichere System nach Anspruch 4, wobei das 
dritte Agentenprogramm eine sichere Erweiterung des 45 
zweiten Benutzercomputers ist. 

6. Das sichere System nach Anspruch 5, das auBerdem 
Mittel besitzt, um die Anderungen der Nachweisliste, 
die die ZugrifTsrechte des zweiten Benutzercomputers 
auf die eiektronische Datendatei betreffen, vom dritten 50 
Agentenprogramm an den zweiten Benutzercomputer 

zu senden. 

7. Das sichere System nach Anspruch 2 oder 5, wobei 
die Kommunikationsumgebung einen Server urnfaBt. 

8. Das sichere System nach Anspruch 1, 2 oder 5, das 55 
auBerdem in der Kommunikationsumgebung eine 
Schnittstelle zum Dalenarchivsyslem urnfaBt, die daran 
angepafit ist, alle Ubertragungen zwischen dem Daten- 
archivsystem und dem Agentenprogramm zu empfan- 
gen. 60 

9. Das sichere System nach Anspruch 8, wobei die 
Schnittstelle eine sichere Erweiterung des Datenar- 
chivsystems ist. 

10. Ein Verfahren fur die Verwaltung eines sicheren 
elektronischen Datensuchsyslems fiir ein elektroni- 65 
sches Dalenarchiv, wobei das System eine Nachweisli- 
ste, in der Zugriffsrechte auf die eiektronische Daten- 
datei im Dalenarchiv aufgefuhrt sind, und eine Auf- 
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zeichnung, in der Dokumentzugriffsrechte fur jeden 
Computer mit Zugriff auf die im Archiv gespeicherten 
elektronischen Daten aufgefuhrt sind, besitzt, wobei 
das Verfahren folgende Schritte urnfaBt: 
Aktualisieren einer Nachweisliste fiir eine im Archiv 
gespeicherte eiektronische Datendatei; 
Identifizieren aller Computer, deren Zugriffsrecht auf 
die eiektronische Datendatei von der Aktualisierung 
betroffen ist; 

Ubertragen der Zugriffsanderung an alle betroffenen 
Computer; 

Aktualisieren der Zugriffsrechtaufzeichnungen aller 
betroffenen Computer; und 

Ubertragen der aktualisierten Zugriffsrechtaufzeich- 
nungen an die betroffenen Computer. 

11. Ein sicheres System zum Suchen von elektroni- 
schen Datendateien, die in einem Datenarchivsystem 
gespeichert sind, umfassend: 

Mittel zum Verwalten eine Nachweisliste, in der Zu- 
griffskontrollen fur jede im Datenarchivsystem gespei- 
cherte eiektronische Datei aufgefuhrt sind; 
Mittel zum Beschranken des Zugriffs auf jede Nach- 
weisliste auf einen Computer mit Deponierungsberech- 
tigung; 

Mittel zum Verwalten einer Aufzeichnung, in der die 
Zugriffsrechte auf die eiektronische Datendatei fur je- 
den Computer mit Zugriffsrecht auf mindestens eine 
eiektronische Datendatei im Datenarchivsystem aufge- 
fuhrt sind; 

Mittel, um den Zugriff auf die Aufzeichnung auf den 
zugehorigen Computer mit Zugriffsrechten zu be- 
schranken; und 

Mittel zum Aktualisieren der Aufzeichnung fur jeden 
Computer, der von einer Zugriffsanderung in einer 
Nachweisliste betroffen ist. 

12. Ein computerlesbarer Speicher zum Speichem der 
Instruktionen zur Verwendung bei der Ausfuhrung des 
Verfahrens nach Anspruch 10 auf einem Computer. 
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Abstract of DE1 9960978 

System for controlling electronic data access 
where a data archive is controlled by a third party 
and a first party deposits data files in an archive 
that can then be searched by an authorized 
second party.- DETAILED DESCRIPTION - 
Secure system comprises: a first agent program 
that allows a computer to deposit a data file in a 
data archive, a second agent program that allows 
a user computer access rights to the electronic 
data file in the archive. An authorization list for 
the data file is produced and managed by the 
provision (first) agent program. An access right 
list can be accessed using the second (user) 
agent program. Means are provided to allow the 
provider computer to send access rights to the 
user computer or to alter its access rights.Means 
are also provided to allow the provider computer 
to check the access rights of the user computer 
before it has free access to the data file using the 
second agent program 
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